问题标签 [nxlog]

这与

• 使用 om_ssl 使用 nxlog 将日志从 Windows 发送到 logstash
• 使用 SSL 从 NXlog 传送到 Logstash

如上述链接中所述，我有一个有效的 NXlog 和 Logstash 配置。

但是，TLS 连接失败，logstash 日志中出现以下异常：

似乎 NXlog 依赖 SSLv3 而不是 TLS 1.x 来进行 SSL 握手。但是，由于 POODLE 漏洞，前者已在最近的 Java 版本（由 logstash 使用）中禁用。

那么如何在客户端禁用 SSLv3 并强制 NXlog 使用 TLS 1.2？

有没有人有一个很好的解决方案来通过 Logstash 将 Azure 诊断（主要是 Azure 网站日志）移动到 Elasticsearch？

如果 Logstash 不支持它，是否还有其他工具可以完成这项工作？无需过多定制。

我正在使用 Nxlog 将我的 Windows Server 日志转发到 LogStash，并尝试从 LogStash 中删除不等于给定 Windows eventId 的消息。什么是正确的语法？

这是我尝试过的：

和：

和

我正在尝试在 centOs5 上安装 nxLog。

运行“rpm -ivh nxlog-ce-2.8.1248-1.x86_64.rpm”时出现以下错误：

我一直在查找这些依赖项（yum 无法解决它们），并且我可以在包中找到其中的许多依赖项，例如这个：

http://rpm.pbone.net/index.php3/stat/4/idpl/20908084/dir/centos_other/com/openssl10-libs-1.0.1e-1.ius.centos6.x86_64.rpm.html

然而，这些都标记为 centOs 6+。nxlog 文档声明它支持 centOs 5。有没有一种干净的方法来解决这些依赖关系？或者我是否必须混合和匹配这些包（一旦我将它们全部放在我的机器上，希望 RPM 能够解决它们？）直到我可以运行 nxlog？

谢谢

首先感谢您的任何建议和您的时间。

我最近为刚开始工作的公司设置了一个 Elk 堆栈。（这是我第一次使用 Logstash 和 Nxlog。）我想做的是使用 nxlog 将 IIS 日志和 EventLogs 从同一个网络服务器发送到 logstash。

我只是不明白如何从一个来源发送两种类型的日志并让 logstash.conf 正确过滤这些数据。

这是我的 nxlog.conf

我当前的 logstash.conf

看起来您可以通过设置类型和执行 if type else this type 来过滤不同的数据。但是，如果它们来自同一来源，我该如何指定不同的类型？

：） 谢谢！

nxlog.conf

上面的链接是我的 nxlog.conf 的副本。我找不到任何关于如何在查询列表块中使用多个块的文档，但根据我认为我能够做到这一点的名称。我的 ELK 服务器现在正在接收所有事件，而不是任何过滤的事件。我只想使用一个查询块，但它仅限于 10 个选择条目。我找不到任何使用超过 3 个选择条目的人的例子。有没有人对更高级的 nxlog.conf 有任何运气？任何帮助，将不胜感激。

我遇到了一个我试图用 IIS 日志和 Elasticsearch 解决的问题。发生的事情是我在 IIS 日志中的用户名中有一个反斜杠 () 而不是正斜杠 (/)。当 Elasticsearch 返回名称时，它不再具有我希望在输入时被转义的 \。因此，在 Elasticsearch 或 Kibana 中查看结果时，用户名没有 \ 并且那里的斜杠被视为正则表达式。例如，用户名 abcd\bob 将作为 abcdob 返回。

我也相信这个问题将是我将 _grokparsefailure 标记添加到来自 IIS 的每个条目的原因。

有什么建议么？

我的 NXLOG 文件获取数据：

我的 Logstash.conf 文件：

示例 IIS 日志条目： 2015-05-06 15:41:18 W3SVC2 WEB1 10.11.10.137 GET /main/ - 80 ABCD\smith 10.11.11.127 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.3;+WOW64;+Trident/7.0;+Touch;+.NET4.0E;+.NET4.0C;+Tablet+PC+2.0;+.NET+CLR+3.5.30729;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.30729;+InfoPath.3) cisession=a%3A4%3A%7Bs%3A10%3A%22session_id%22%3Bs%3A32%3A%22959e25c7a1663350eeb85edb676de096%22%3Bs%3A10%3A%22ip_address%22%3Bs%3A12%3A%2210.11.11.127%22%3Bs%3A10%3A%22user_agent%22%3Bs%3A120%3A%22Mozilla%2F4.0+%28compatible%3B+MSIE+7.0%3B+Windows+NT+6.3%3B+WOW64%3B+Trident%2F7.0%3B+Touch%3B+.NET4.0E%3B+.NET4.0C%3B+Tablet+PC+2.0%3B+.NET+CL%22%3Bs%3A13%3A%22last_activity%22%3Bi%3A1430926793%3B%7D08a40eacaf8b6eba6102c7746c35c46497a6502a http://my.domain.com/main/scheduling my.domain.com 200 0 0 11314 1009 1458

更新： 我添加了第二个 nxlog iis 输入/输出，而不是将数据输出到我的 logstash 服务器，而是输出到一个平面文件。

我检查了这个输出并注意到用户名在访问logstash服务器之前从用户名中删除了反斜杠。

我的应用程序使用 nlog。它需要将日志发送到在同一主机上运行的 nxlog 进程（我也可以控制）。

我想过使用 TCP 或 UDP 从 nlog 向 nxlog 发送 json 行。这是一个简单的设计，但它不是容错 AFAIK。如果 nxlog 暂时关闭，nlog 甚至可能会继续重试，但如果我的应用程序在那一刻退出，日志消息就会丢失。

或者，我可以设置 nlog 文件目标以写入 json 行。它将作为持久缓冲区工作。Nxlog 将从该文件中读取。问题变成如何设置文件滚动设置。如果我不设置滚动，nlog 可能会在 nxlog 读取最后的日志行之前截断文件。如果我设置滚动，nxlog 会将新归档文件视为一组新日志并“重播”它们以生成重复项。

所以，我的问题是：如何将 nlog 和 nxlog 设置为容错并防止重复？

我正在使用 graylog2 vm 来获取我的防火墙系统日志，它运行得很好。现在我想使用 nxlog 获取一些 Windows 日志，但这根本不起作用。

我的猜测是我在 conf 文件中的 xml 代码是错误的，但我之前就错了。注意：我要从中获取日志的 VM 和 windows 服务器在同一个网络上：

问题是我的 gelf udp 输入正在运行，但源中没有显示任何内容...您发现有什么问题吗？

编辑/经过进一步调查和帮助。我将 nxlog.conf 修改为：

除了我应该运行的输入之外，我仍然没有在 graylog 中看到任何内容。

我有以下日志格式：

我想要一行中的完整条目，所以我使用多行扩展：

多行扩展在 nxlog 启动后对输入文件中的现有条目按预期工作。新条目未正确写入输出。只有标题将被写入输出。有人知道我做错了什么吗？

更新： im_file 的 PollInterval 似乎是问题所在。我在 nxlog 的文档（xm_multiline 部分）中关注了以下内容：

注意 在读取新的标头之前，之前的消息会存储在缓冲区中，因为模块不知道消息在哪里结束。im_file 模块将在配置的 PollInterval 超时后强制刷新此缓冲区。如果这种行为是不可接受的，请考虑使用某种封装方法（JSON、XML、RFC5425 等）或在可能的情况下使用带有 EndLine 的结束标记。

所以，我使用了一个结束标记，但它不起作用。我为 EndLine 尝试了不同的值（正则表达式：/^\s*$/ String:""）